Google po cichu zamienia Chrome w końcówkę Botnetu Rzeczy

Gdy pod koniec stycznia debiutował w stabilnym kanale Chrome 56, opisując nowości tego wydania najpopularniejszej przeglądarki planety prześlizgnęliśmy się tylko po wprowadzeniu wsparcia dla standardu Web Bluetooth. Błąd, poważny błąd, wynikający z pobieżnego tylko przejrzenia dokumentacji. Przypomnijmy więc – chodzi o nowy interfejs programowania, który pozwoli stronom internetowym bezpośrednio komunikować się z urządzeniami Bluetooth Low Energy. Niby niewinnie, ale diabeł jak zwykle tkwi w szczegółach.

Pierwsze przykładowe zastosowanie Web Bluetooth? Pozyskanie danych z urządzenia do monitorowania pracy serca. Poważnie – coś takiego znajdziemy na początku szkicu dokumentacji nowego standardu. Nowy interfejs programowania bazuje na protokole GATT, pozwalającym połączyć się aplikacjom webowym z dowolnymi urządzeniami standardu Bluetooth Low Energy – od dziecięcych zabawek, przez domowe żarówki i termostaty po wspomniany sprzęt medyczny.

Google zapewnia o bezpieczeństwie i prywatności tego rozwiązania, jakżeby inaczej. W rzeczywistości żadnego specjalnego bezpieczeństwa tu nie ma – ot komunikacja między serwerem a przeglądarką odbywa się po TLS, na udostępnienie urządzenia aplikacji trzeba wyrazić zgodę, potem urządzenia trzeba sparować, przed sparowaniem urządzenie jest niewidoczne dla działającego na stronie skryptu.

Teraz należy zaczekać na sztuczki inżynierii społecznej, tak jak ostrzegał już w zeszłym roku uznany ekspert od prywatności i bezpieczeństwa, Łukasz Olejnik. Zauważył on, że nie ma co spodziewać się, by zwykły użytkownik rozumiał różnicę między sparowaniem swojego smartfonu czy czajnika z własnym laptopem, a sparowaniem tegoż smartfonu czy czajnika z działającą w chmurze aplikacją. Można sobie wyobrazić przeróżne oszukańcze aplikacje, które będą teraz użytkowników namawiały do sparowania, obiecując im nowe, niezwykłe doświadczenia w marketingowej nowomowie. I tak krok po kroku, użytkownicy zaczną oddawać operatorom Internetu Rzeczy dostęp do sprzętu, który gromadzi o nich ogromne ilości informacji.

I analyse privacy of @w3c Web Bluetooth. The joys of pairing websites with devices. Location tracking, leaks? https://t.co/lkwM0ypQx4 #IoT

— Lukasz Olejnik (@lukOlejnik) October 25, 2016

Podkreślmy – nie ma w Web Bluetooth żadnych mechanizmów zarządzania informacją udostępnioną aplikacji webowej. Jak już zapewnisz dostęp, to autor aplikacji może robić co chce. A biorąc pod uwagę ogólnie marny stan zabezpieczeń wszystkiego, co wiąże się z Internetem Rzeczy… nie wróży to dobrze przyszłości, obiecując sceny niczym z gry Watch Dogs.

Na koniec najzabawniejsze. Użytkownik nie może prosto wyłączyć sobie Web Bluetootha. W organizacjach administratorzy mogą go wyłączyć dla swoich użytkowników korzystając z polityk Chrome, czegoś o czym zwykły Kowalski nawet nie wie, że to istnieje.